Flashcards: 305.2 - Freeipa Gestion De Entidades
43 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Cuál es el comando correcto para crear un usuario en FreeIPA?
R: b) ipa user-add jgarcia --first=Juan --last=Garcia. Los comandos de FreeIPA siguen el patrón ipa ENTIDAD-ACCIÓN. Para usuarios, el prefijo es user- seguido de la acción: add, mod, del, find, show, enable, disable, unlock.
P: ¿Qué se debe hacer antes de que las reglas HBAC personalizadas tengan efecto?
R: b) Deshabilitar la regla allow_all con ipa hbacrule-disable allow_all. La regla allow_all está habilitada por defecto y permite el acceso de todos los usuarios a todos los hosts. Mientras esté activa, las reglas HBAC personalizadas no tienen efecto porque allow_all siempre permite el acceso.
P: ¿Qué comando permite verificar si un usuario tiene acceso a un host según las reglas HBAC?
R: c) ipa hbactest --user=jgarcia --host=srv1.empresa.local --service=sshd. ipa hbactest simula la evaluación de reglas HBAC para determinar si un usuario tiene acceso a un host mediante un servicio específico, sin necesidad de intentar la conexión real.
P: ¿Cómo se inscribe un host en FreeIPA usando una contraseña de un solo uso (OTP)?
R: a) Se genera con ipa host-add fqdn --random y se usa con ipa-client-install --password=OTP. El administrador genera la OTP con --random al añadir el host al servidor IPA. Luego, en el cliente, se ejecuta ipa-client-install --password=CONTRASEÑA_GENERADA para completar la inscripción sin necesitar credenciales de administrador.
P: ¿Qué tipo de grupo de FreeIPA puede contener miembros de un dominio Active Directory?
R: c) Grupo externo. Los grupos externos (creados con --external) pueden contener SIDs de Active Directory como miembros. Se usan típicamente en relaciones de confianza cross-realm para mapear entidades AD a permisos FreeIPA.
P: ¿Qué componente de una regla sudo en FreeIPA define los comandos que el usuario puede ejecutar?
R: c) sudorule-add-allow-command. ipa sudorule-add-allow-command asocia comandos (individuales o grupos de comandos sudo) a una regla sudo, definiendo qué comandos están permitidos ejecutar con sudo dentro de esa regla.
P: ¿Qué hacen las reglas de automember en FreeIPA?
R: b) Asignan automáticamente usuarios o hosts a grupos basándose en atributos. Las reglas de automember usan expresiones regulares sobre atributos de la entidad (como departamento, FQDN, etc.) para asignar automáticamente nuevos usuarios u hosts al grupo correspondiente al momento de su creación.
P: ¿Qué permite hacer un ID View en FreeIPA?
R: b) Sobrescribir atributos POSIX de usuarios y grupos para hosts específicos. ID Views permiten que un mismo usuario tenga diferentes atributos POSIX (UID, GID, home, shell) en diferentes hosts. Esto es útil para migración o para integrar servidores legacy que requieren UIDs diferentes.
P: ¿Qué comando obtiene un keytab Kerberos para un servicio desde el servidor FreeIPA?
R: c) ipa-getkeytab -s servidor -p principal -k /ruta/keytab. ipa-getkeytab contacta al servidor FreeIPA (-s), solicita el keytab para el principal Kerberos especificado (-p) y lo guarda en el archivo indicado (-k). Los keytabs permiten a los servicios autenticarse sin contraseña interactiva.
P: Un administrador quiere que las contraseñas del grupo “desarrolladores” tengan una longitud mínima de 10 caracteres y expiren cada 180 días. ¿Qué comando es correcto?
R: b) ipa pwpolicy-add desarrolladores --minlength=10 --maxlife=180 --priority=10. ipa pwpolicy-add crea una política de contraseñas para un grupo específico. Se requiere --priority para definir el orden de evaluación (menor número = mayor prioridad). Esta política se aplica a los miembros del grupo en lugar de la política global.
P: ¿Qué comando deshabilita un usuario en FreeIPA sin eliminarlo?
R: b) ipa user-disable jgarcia. ipa user-disable deshabilita la cuenta del usuario sin eliminarla del directorio. El usuario no podrá autenticarse hasta que sea habilitado nuevamente con ipa user-enable. Es diferente de ipa user-del, que elimina la cuenta permanentemente.
P: ¿Qué tipo de grupo FreeIPA no tiene GID numérico asociado?
R: c) Grupo no-POSIX. Los grupos no-POSIX (creados con --nonposix) no tienen un GID numérico asignado y solo sirven para organización interna dentro de FreeIPA. No se pueden usar para permisos del sistema de archivos, a diferencia de los grupos POSIX que se crean por defecto.
P: ¿Qué parámetro de la política de contraseñas define el número de contraseñas anteriores que se recuerdan?
R: c) --history. El parámetro --history define cuántas contraseñas anteriores se almacenan para evitar que el usuario las reutilice. Por ejemplo, --history=12 impide usar las últimas 12 contraseñas.
P: ¿Qué comando muestra todos los atributos de un usuario en FreeIPA, incluyendo los atributos operacionales?
R: b) ipa user-show jgarcia --all. La opción --all de ipa user-show muestra todos los atributos del usuario, incluyendo los atributos operacionales de LDAP que normalmente no se muestran. Sin --all, solo se muestran los atributos más comunes.
P: ¿Qué comando permite desbloquear una cuenta de usuario que ha sido bloqueada por exceder el número máximo de intentos de autenticación fallidos?
R: c) ipa user-unlock jgarcia. ipa user-unlock desbloquea una cuenta que fue bloqueada automáticamente por exceder el número máximo de intentos fallidos de autenticación (--maxfail en la política de contraseñas). Es diferente de ipa user-enable, que habilita una cuenta que fue deshabilitada manualmente.
P: En las reglas de automember, ¿qué opción define la expresión regular para la condición de inclusión?
R: b) --inclusive-regex. En ipa automember-add-condition, la opción --inclusive-regex define la expresión regular que debe coincidir con el atributo especificado por --key para que la entidad sea añadida automáticamente al grupo.
P: ¿Qué comando aplica una ID View a un host específico en FreeIPA?
R: b) ipa idview-apply vista --hosts=servidor.empresa.local. ipa idview-apply vincula una ID View a uno o más hosts. Esto hace que cuando SSSD en ese host resuelva identidades, use los atributos sobrescritos definidos en la vista en lugar de los atributos globales del usuario.
P: ¿Qué comando crea un grupo de comandos sudo en FreeIPA?
R: b) ipa sudocmdgroup-add. ipa sudocmdgroup-add crea un grupo de comandos sudo que permite agrupar varios comandos bajo un nombre. Luego se añaden los comandos individuales con ipa sudocmdgroup-add-member y se asocia el grupo a una regla sudo con ipa sudorule-add-allow-command --sudocmdgroups=.
P: ¿Qué parámetro de la política de contraseñas define la prioridad de evaluación?
R: c) --priority. El parámetro --priority define el orden de evaluación de las políticas de contraseñas por grupo. Un número menor indica mayor prioridad. Cuando un usuario pertenece a varios grupos con políticas diferentes, se aplica la política con menor número de prioridad.
P: ¿Qué comando permite establecer el usuario bajo cuya identidad se ejecutarán los comandos de una regla sudo?
R: c) ipa sudorule-add-runasuser. ipa sudorule-add-runasuser define el usuario bajo cuya identidad se ejecutarán los comandos permitidos por la regla sudo. Típicamente se configura con --users=root para permitir la ejecución como root.
P: Escribe el comando para crear un usuario en FreeIPA con login mlopez, nombre Maria y apellido Lopez.
R: ipa user-add mlopez —first=Maria —last=Lopez. Los comandos de FreeIPA siguen el patrón ipa ENTIDAD-ACCIÓN. Para crear un usuario, los parámetros mínimos requeridos son --first (nombre) y --last (apellido). Se pueden añadir opciones adicionales como --email, --shell, --password, etc.
P: Escribe el comando para probar si el usuario jgarcia puede acceder al host servidor1.empresa.local mediante el servicio sshd según las reglas HBAC.
R: ipa hbactest —user=jgarcia —host=servidor1.empresa.local —service=sshd. ipa hbactest simula la evaluación de las reglas HBAC sin necesidad de intentar una conexión real. Requiere especificar el usuario, el host destino y el servicio PAM para determinar si el acceso sería permitido o denegado.
P: Escribe el comando para añadir los usuarios jgarcia y mlopez como miembros del grupo desarrolladores.
R: ipa group-add-member desarrolladores —users=jgarcia,mlopez. ipa group-add-member añade miembros a un grupo existente. Se pueden especificar múltiples usuarios separados por comas con --users=. También se pueden añadir grupos como miembros (grupos anidados) con --groups=.
P: Escribe el comando para deshabilitar la regla HBAC por defecto que permite acceso total.
R: ipa hbacrule-disable allow_all. La regla allow_all viene habilitada por defecto en FreeIPA y permite el acceso de todos los usuarios a todos los hosts. Es necesario deshabilitarla para que las reglas HBAC personalizadas tengan efecto.
P: Escribe el comando para obtener el keytab Kerberos del servicio HTTP del host web.empresa.local desde el servidor FreeIPA ipa.empresa.local y guardarlo en /etc/httpd/conf/httpd.keytab.
R: ipa-getkeytab -s ipa.empresa.local -p HTTP/web.empresa.local -k /etc/httpd/conf/httpd.keytab. ipa-getkeytab extrae el keytab del servidor FreeIPA. -s especifica el servidor IPA, -p el principal Kerberos del servicio y -k la ruta del archivo keytab de destino. El servicio debe existir previamente (creado con ipa service-add).
P: Tip de examen: Los comandos siguen el patrón ipa ENTIDAD-ACCIÓN. Las acciones comunes son: `a…
R: Los comandos siguen el patrón ipa ENTIDAD-ACCIÓN. Las acciones comunes son: add, mod, del, find, show, enable, disable.
P: Tip de examen: FreeIPA soporta grupos anidados (un grupo como miembro de otro grupo). Los grupo…
R: FreeIPA soporta grupos anidados (un grupo como miembro de otro grupo). Los grupos externos se usan para contener SIDs de Active Directory en relaciones de confianza.
P: Tip de examen: La inscripción con OTP (One-Time Password) permite inscribir clientes sin propor…
R: La inscripción con OTP (One-Time Password) permite inscribir clientes sin proporcionar credenciales de administrador. El OTP se genera con --random y se usa una sola vez.
P: Tip de examen: Por defecto existe la regla allow_all que permite acceso total. Se debe deshab…
R: Por defecto existe la regla allow_all que permite acceso total. Se debe deshabilitar antes de que las reglas HBAC personalizadas tengan efecto. ipa hbactest permite verificar si un acceso sería permitido o denegado.
P: Tip de examen: Las reglas sudo en FreeIPA se componen de: usuarios (quién), hosts (dónde), coma…
R: Las reglas sudo en FreeIPA se componen de: usuarios (quién), hosts (dónde), comandos permitidos (qué) y RunAs (como quién). Los comandos se agrupan en sudocmdgroup para facilitar la gestión.
P: Tip de examen: Las políticas de contraseñas pueden definirse por grupo con diferentes prioridad…
R: Las políticas de contraseñas pueden definirse por grupo con diferentes prioridades. La política con menor número de prioridad se aplica primero. La política global se aplica a todos si no hay una más específica.
P: Tip de examen: Automember usa expresiones regulares sobre atributos de la entidad para determin…
R: Automember usa expresiones regulares sobre atributos de la entidad para determinar la pertenencia a grupos. Las reglas se aplican automáticamente al crear nuevas entidades.
P: Tip de examen: ID Views permiten que un mismo usuario tenga diferentes UIDs o directorios home …
R: ID Views permiten que un mismo usuario tenga diferentes UIDs o directorios home en diferentes hosts. Son útiles para migración o para integrar servidores legacy con atributos POSIX diferentes.
P: Tip de examen: ipa-getkeytab extrae keytabs Kerberos del servidor FreeIPA. Los keytabs permit…
R: ipa-getkeytab extrae keytabs Kerberos del servidor FreeIPA. Los keytabs permiten a servicios autenticarse sin contraseña interactiva. Cada servicio necesita su propio keytab.
P: Que hace el comando ipa hbacrule-add-user?
R: Añadir usuarios/grupos a regla
P: Que hace el comando --minlife?
R: Vida mínima de la contraseña (días)
P: Que hace el comando --maxlife?
R: Vida máxima de la contraseña (días)
P: Que hace el comando --history?
R: Número de contraseñas anteriores recordadas
P: Que hace el comando --minclasses?
R: Clases mínimas de caracteres (mayús, minús, etc.)
P: Que es/son Reglas de automember?
R: Automember asigna automáticamente usuarios o hosts a grupos basándose en sus atributos:
P: Que es/son ID Views?
R: ID Views permiten sobrescribir atributos POSIX de usuarios y grupos por host:
P: Que es/son ipa-getkeytab?
R: Gestiona keytabs Kerberos para servicios:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: